ISMS-Pとの比較
30.3.1. ISMS-Pの概要
ISMS-P(情報保護および個人情報保護管理体系認証)は、大韓民国固有の法定認証制度です。科学技術情報通信部と個人情報保護委員会が共同で告示し、韓国インターネット振興院(KISA)が認証運営業務を遂行しています。
ISMS-Pは、既存のISMS(情報保護管理体系認証)とPIMS(個人情報保護管理体系認証)を2018年に統合して発足した認証です。情報保護と個人情報保護を一つの管理体系に統合し、認証の効率性を高め、重複審査の負担を軽減することが統合の趣旨です。
ISMS-Pは、情報保護管理体系(ISMS)部分のみを単独で認証を受けることも、個人情報保護を含む全体(ISMS-P)として認証を受けることもできます。個人情報を処理しない組織はISMS認証のみで十分であり、個人情報を処理する組織はISMS-P全体認証を受けることを推奨します。
韓国国内の情報保護認証体系において、ISMS-Pは最も包括的で権威のある認証として認められています。特に一定規模以上の企業には法的取得義務が課されており、単なる選択ではなく法的要件です。
30.3.2. 認証基準
ISMS-Pの認証基準は3つの領域、合計101の統制項目で構成されています。
30.3.2.1. 領域別構成
| 領域 | 統制項目数 | 説明 |
|---|---|---|
| 管理体系の策定および運用 | 16項目 | 情報保護および個人情報保護管理体系の策定、運用、改善に関する要求事項 |
| 保護対策要求事項 | 64項目 | 情報保護のための管理的、技術的、物理的保護対策 |
| 個人情報処理段階別要求事項 | 21項目 | 個人情報の収集、利用、提供、廃棄などライフサイクル全体に対する要求事項 |
30.3.2.2. 管理体系の策定および運用(16項目)
管理体系の策定および運用領域は、以下の詳細分野で構成されています。
| 分野 | 項目数 | 主要内容 |
|---|---|---|
| 管理体系の基盤整備 | 4項目 | 経営陣の参加、最高責任者の指定、組織構成、範囲設定 |
| リスク管理 | 3項目 | 情報資産の識別、現状/フロー分析、リスク評価および対応 |
| 管理体系の運用 | 3項目 | 保護対策の実装、保護対策の共有、運用現状管理 |
| 管理体系の点検および改善 | 3項目 | 法的要求事項の遵守レビュー、管理体系の点検、管理体系の改善 |
| 管理体系の策定 | 3項目 | 情報保護ポリシーの策定、実施文書、資源確保 |
30.3.2.3. 保護対策要求事項(64項目)
保護対策要求事項は、組織が実装すべき具体的な保護措置を定義しています。
| 分野 | 項目数 | 主要内容 |
|---|---|---|
| ポリシー、組織、資産管理 | 3項目 | 情報保護ポリシー、組織、資産分類および管理 |
| 人的セキュリティ | 6項目 | 責任割当、セキュリティ教育、退職/職務変更管理、セキュリティ誓約 |
| 外部者セキュリティ | 4項目 | 外部者セキュリティポリシー、契約、現状管理、セキュリティ履行管理 |
| 物理セキュリティ | 7項目 | 保護区域、入退室管理、情報システム保護、補助記憶媒体 |
| 認証および権限管理 | 6項目 | ユーザー登録/解除、アクセス権限管理、特別権限、アクセス権限レビュー |
| アクセス制御 | 7項目 | ネットワークアクセス、情報システムアクセス、アプリケーションアクセス、データベースアクセス |
| 暗号化の適用 | 2項目 | 暗号ポリシー策定、暗号鍵管理 |
| 情報システム導入および開発セキュリティ | 6項目 | セキュリティ要件定義、セキュリティ要件レビュー、テスト環境と運用環境の分離 |
| システムおよびサービス運用管理 | 7項目 | 変更管理、性能/障害管理、バックアップ管理、ログ管理 |
| システムおよびサービスセキュリティ管理 | 5項目 | セキュリティシステム運用、クラウドセキュリティ、公開サーバーセキュリティ |
| インシデント予防および対応 | 5項目 | インシデント予防、脆弱性点検、インシデント対応訓練、インシデント対応/復旧 |
| 災害復旧 | 6項目 | 災害復旧計画、IT災害復旧、災害復旧テスト |
30.3.2.4. 個人情報処理段階別要求事項(21項目)
個人情報のライフサイクル全体を対象とした要求事項です。
| 段階 | 項目数 | 主要内容 |
|---|---|---|
| 個人情報の収集 | 7項目 | 収集目的、最小限の収集、固有識別情報の処理、機微情報の処理、同意の取得 |
| 個人情報の保有および利用 | 4項目 | 目的外利用の制限、追加利用/提供、利用履歴の通知 |
| 個人情報の提供 | 2項目 | 個人情報の第三者提供、個人情報の国外移転 |
| 個人情報の廃棄 | 4項目 | 保有期間の遵守、廃棄手順、復旧不可能な廃棄 |
| 情報主体の権利保護 | 4項目 | 閲覧要求、訂正/削除要求、処理停止要求、自動化された意思決定の拒否 |
30.3.3. 法的義務
ISMS-P(またはISMS)認証は、以下の条件に該当する組織に法的取得義務が課されます。
30.3.3.1. 義務認証対象
「情報通信網利用促進及び情報保護等に関する法律」第47条および同法施行令に基づく義務認証対象は以下の通りです。
| 対象 | 基準 |
|---|---|
| ISP(インターネットサービス提供者) | 電気通信事業法による登録をした者で、ソウルおよびすべての広域市で情報通信網サービスを提供する者 |
| IDC(集積情報通信施設) | 他者の情報通信サービス提供のために集積された情報通信施設を運営/管理する者 |
| 一定規模以上の事業者 | 前年度売上高または歳入が1,500億ウォン以上、または前年度直前3ヶ月間の1日平均利用者数が100万人以上の者 |
| 上級総合病院および総合病院 | 医療法に基づく上級総合病院および総合病院のうち一定規模以上 |
30.3.3.2. 未履行時の制裁
義務認証対象であるにもかかわらず認証を取得しない場合、以下の制裁が課されます。
- 過料:3,000万ウォン以下
- 課徴金:売上高の3%以下(個人情報漏洩事故発生時)
- 行政処分:是正命令、課徴金の賦課
ISMS-Pの法的義務としての性格は、TQSとの比較における重要な差異です。TQSは社内自社認証であり法的義務がなく、ISMS-Pを代替することはできません。
30.3.4. TQSとの比較分析
以下の表は、ISMS-PとTQSを核心的な比較軸に基づいて整理したものです。
| 比較軸 | ISMS-P | TQS |
|---|---|---|
| 認証目的 | 情報保護および個人情報保護管理体系の構築検証 | コードレベルの技術品質検証 |
| 検証レベル | 管理体系/プロセスレベル | コード/設定/ビルドレベル |
| 検証対象 | 組織の情報保護管理体系全般 | プロジェクトのソースコード、CI/CD、ビルド設定 |
| 法的性格 | 法定義務認証(一定規模以上) | 社内自社認証(法的義務なし) |
| 統制項目数 | 101項目(管理16 + 保護64 + 個人情報21) | 約80のチェックリスト項目(コードレベル) |
| 審査方法 | 書類審査 + 現場審査(KISA認証審査員) | 自動化検証 + コードレビュー(技術標準委員会) |
| アクセス制御検証 | 「アクセス制御ポリシーが策定されているか」 | 「Spring Security RBACが実装されているか」 |
| 暗号化検証 | 「暗号ポリシーが策定されているか」 | 「BCryptハッシュ、AES-256暗号化が適用されているか」 |
| 個人情報検証 | 「個人情報処理方針が告知されているか」 | 「入力値検証(Bean Validation)、SQLインジェクション防止が実装されているか」 |
| 変更管理検証 | 「変更管理プロセスが文書化されているか」 | 「Git Flowが適用され、PRレビューが実施されているか」 |
| 認証費用 | 数千万ウォン(審査費用 + コンサルティング費用) | 無料(自社内部認証) |
| 更新周期 | 3年(年1回サーベイランス審査) | メジャーバージョン単位(CI常時検証) |
| 認証機関 | KISA(韓国インターネット振興院) | ティエニピア技術標準委員会 |
30.3.4.1. 根本的な差異
ISMS-PとTQSの最も根本的な差異は検証階層にあります。
ISMS-Pは、組織が情報保護と個人情報保護のための管理体系を策定し運用しているかを検証します。ポリシー文書、組織構成、リスク評価結果、インシデント対応手順など管理的側面に焦点を当てます。「セキュア開発プロセスが定義されているか」「開発者にセキュリティ教育を実施しているか」といった質問に答えます。
TQSは、そのポリシーが実際のコードに反映されているかを検証します。「SQLパラメータバインディングを使用しているか」「v-htmlを使用していないか、またはDOMPurifyを適用しているか」「Spring Securityの設定でCSRF防御が有効になっているか」といったコードレベルの質問に答えます。
30.3.4.2. 法的義務の差異
ISMS-Pは法律による義務認証です。一定規模以上の企業は必ず取得しなければならず、未履行時には過料と課徴金が課されます。TQSはこのような法的義務を代替することはできず、代替することを目的としてもいません。
したがって、ISMS-P義務認証対象企業はISMS-P認証を必ず取得しなければならず、TQSはこれに追加的に適用する補完認証です。
30.3.5. 韓国国内環境での組み合わせ戦略
大韓民国の規制環境では、ISMS-PとTQSを併用するのが最も効果的な戦略です。
30.3.5.1. 2階層認証戦略
| 階層 | 担当認証 | 役割 | 性格 |
|---|---|---|---|
| 管理体系階層 | ISMS-P | 情報保護/個人情報保護管理体系の策定および運用 | 法的義務(該当時) |
| 実装階層 | TQS | 管理体系で定義した保護対策のコードレベル実装検証 | 自主的品質認証 |
30.3.5.2. ISMS-P統制項目とTQSの連携
ISMS-P保護対策要求事項のうち技術的保護対策に該当する項目は、TQSチェックリストと直接連携します。
| ISMS-P統制項目 | ISMS-P検証内容 | TQS検証内容 |
|---|---|---|
| 認証および権限管理 | アクセス権限ポリシー策定、特別権限管理手順 | Spring Security RBAC実装、権限チェックコード |
| アクセス制御 | ネットワーク/システム/DBアクセス制御ポリシー | SecurityFilterChain設定、CORS設定 |
| 暗号化の適用 | 暗号ポリシー策定、暗号鍵管理手順 | BCryptハッシュ、TLS設定、AES-256適用コード |
| セキュリティ要件定義 | 開発時のセキュリティ要件反映手順 | 入力値検証(Bean Validation)、XSS防止(v-html不使用) |
| テスト環境と運用環境の分離 | 開発/テスト/運用環境分離ポリシー | Springプロファイル分離(local/dev/staging/prod) |
| 変更管理 | 変更管理プロセスの文書化 | GitHub Flow適用、PRレビュー実施、CI/CDパイプライン |
| ログ管理 | ログ収集/保管ポリシー | SLF4Jロギング適用、System.out不使用 |
30.3.5.3. 組み合わせ適用時の期待効果
ISMS-PとTQSを併用すると、以下のような効果が期待できます。
- ポリシー-実装の整合性確保: ISMS-Pで策定した保護対策が実際のコードに実装されていることをTQSが客観的に証明します。
- 審査対応力の強化: ISMS-Pサーベイランス審査時に、技術的保護対策の履行証拠としてTQS認証結果およびCI/CDレポートを活用できます。
- 常時モニタリング: ISMS-Pサーベイランス審査(年1回)の間にも、TQSのCI/CD自動化検証が保護対策の遵守状態を継続的に確認します。
- 開発者のセキュリティ意識向上: TQSチェックリストを通じて、開発者がISMS-P保護対策の技術的実装方法を具体的に理解するようになります。
- 規制対応コストの削減: セキュリティ課題を開発段階で早期発見し修正するため、審査時の指摘事項が減り、補完コストが削減されます。
30.3.5.4. 適用の優先順位
ISMS-P義務認証対象企業は、以下の順序で適用することを推奨します。
- ISMS-P認証取得(法的義務の充足)
- TQSチェックリストをISMS-P保護対策とマッピング
- CI/CDパイプラインにTQS自動化検証を統合
- TQS認証取得(コードレベルの品質保証)
- ISMS-Pサーベイランス審査時にTQS結果を補助証拠として活用
ISMS-P義務対象でない企業であっても、個人情報を処理するか、セキュリティが重要なサービスを運営する場合には、ISMS-P + TQSの組み合わせを適用することを推奨します。ISMS-Pが管理体系次元のセキュリティを、TQSがコード次元のセキュリティを担当し、双方向からセキュリティレベルを保証します。